今日はさくらのクラウドで起動したサーバが持つIPアドレスに対して逆引き設定(PTRレコード)を指定する手順を行ってみます。
A レコードと PTR レコード
DNSレコードのAとPTRは双子のような存在です。以下に例を示します。
Aレコード :web.harunobukameda.com → 133.125.89.196
PTRレコード : 133.125.89.196 → web.harunobukameda.com
Aレコードを正引き、PTRレコードを逆引きと表現します。
クラウドと PTR レコード
上記の通りAとPTRはペアのようなものですが、クラウドの場合全く異なります。IPアドレスの持ち物が自分のものではない、ということです。対してドメイン名は自分が管理可能なものです。
上記の例でいえばharunobukameda.comは自分が管理しているのでどのIPアドレスにAレコードを設定するか、その際のサブドメインは何にするのか、自分で決めることができます。
一方133.125.89.196はさくらインターネットが払い出したものを利用することになります。つまりPTRレコードはIPアドレスの管理者である、さくらインターネット側で設定を行う必要があります。
多くのクラウドサービスでは、サポートに依頼を出して設定を行う、というフローが一般的ですが、さくらのクラウドの場合、コンソールからそのまま設定が可能です。
(利用しているネットワークサービスで設定手順が少し異なります)
PTR レコードが必要となる例
IPアドレスを保有するサーバがWebサーバの場合、Aレコードだけ(web.harunobukameda.com → 133.125.89.196)であればよく、PTRレコードは動作に不要です。
メール送信
PTRレコードが必須のケースとしてメールサーバが挙げられます。
例えばweb.harunobukameda.comというメールサーバがmail.xxxx.comにメールを送信した場合、受信側のmail.xxxx.comは送られきたメールの送信元IPと送信者情報のIPアドレスを確認します。これにより例えば「送信者がweb.example.comのメールが送信元IP133.125.89.196から送られてきた。133.125.89.196はweb.harunobukameda.comとなっているため、不正利用されている可能性がある」と判断できます。
内部のログ調査
例えば2台のウェブサーバがあったとします。(133.125.89.196と133.125.89.197)それらの通信ログをlog.harunobukameda.comというサーバに送信した場合、ログにweb1.harunobukameda.com,web2.harunobukameda.comと表記したほうが133.125.89.196と133.125.89.197と表記するより分かりやすくなりログ調査がスムーズになります。
さっそくやってみる
今日は今までの手順で触れてきたルータ+スイッチ環境で試していきます。
1. A レコードの設定
逆引き(PTR)レコードの設定をするためには必ずAレコードを設定しておく必要があります。Aレコードの設定は任意のDNSサーバで大丈夫です。さくらのクラウドのDNSサービスでなくても動作します。
2. nginxのインストール
Aレコードの設定確認のためにnginxを使ってウエブサーバを起動します。
sudo dnf install nginx
sudo service nginx start
Aレコード :web.harunobukameda.com → 133.125.89.196
無事設定できています。
3. 逆引き(PTRレコード)設定
スイッチ+ルータのIPアドレステーブル画面からAレコードを設定しているIPアドレスの鉛筆アイコンをクリックします。
登録時に自動でAレコードの存在が確認されます。Aレコードが存在していれば無事登録されます。
4. 動作確認
別のサーバでPTRレコードを確認します。
nslookup 133.125.89.196
196.89.125.133.in-addr.arpa name = web.harunobukameda.com.
無事web.harunobukameda.com.が認識されています!
Discussion